x

【隐私保护】一种潜在的网络隐私模型

developer.chat
23 June 2024
SEO Title
web.dev A Potential Privacy Model for the Web

category

共享Web标识


网络的身份模型包含了两种交互浏览器功能的隐含结果:

  • 每个域的状态,尤其是cookie,它使eTLD+1能够保持访问者身份的一致性。由于3p cookie、iframe中的存储等原因,此身份扩展到顶级网站。
  • 在浏览器中,在网页上共同出现的各方之间传递信息(通过DOM或JS中的共享状态、HTTP重定向或postMessage等机制)。

这种组合导致了广泛共享的跨站点身份,从而实现了对个人浏览活动进行全网跟踪的能力。全局静态标识符(如设备指纹识别,或由浏览者提供或秘密获取的PII)也提供了一条通往全局身份的独立路径。对cookie、指纹识别和其他浏览器状态的限制都旨在降低创建或访问全局身份的能力。

一方面,全球身份产生了将一个人的大部分浏览历史记录编织在一起的能力,这是当今网络的核心隐私问题。浏览器可以通过对暴露给开发人员的底层功能施加限制来对这个问题采取行动。另一方面,全球身份在当今的网络广告生态系统中也发挥着重要作用。如果浏览器没有满足生态系统的合法需求,那么对这些技术能力施加限制的浏览器可能会直接影响出版商的经济生存能力(更多细节!)并鼓励变通办法。

这份文件描述了一种网络可能的工作方式,这种方式不需要跨网站跟踪,但仍然可以让出版商通过有效的广告来支持自己。查看这篇Chrome博客文章了解更多信息。

我们需要在网络平台社区内进行对话,包括浏览器和许多在生态系统中蓬勃发展并为生态系统做出贡献的利益相关者,这样我们才能清楚地描述一种对每个人都有效的新身份最终状态。对于浏览器,这为我们提供了一个评估拟议更改、标准和API的框架:我们需要执行哪些边界,以及我们应该在哪里进行创新以改进网络。对于开发人员来说,清晰的长期愿景提供了一路变化的稳定性和可预测性。

任何关于新身份模型的讨论都必须回答两个具体问题:

  • 浏览器允许网站在何种网络活动范围内将一个人视为具有单一身份?
  • 在不影响身份分离的情况下,信息可以通过什么方式跨越身份边界?


本文件为这些问题提供了一个可能的答案。目标是一条平衡的前进道路,显著改善网络隐私,同时允许足够的信息流来仔细支持出版商和广告商的关键需求。

身份由第一方网站划分

 

  • 身份“我在访问nytimes.com时的我”与身份“我正在访问cnn.com时”不同。
  • 核心的隐私威胁是在不同的第一方之间加入这些每个站点的身份。浏览器(对cookie、指纹和其他状态)施加限制,目的是阻止这些per-1p身份的可加入性。
  • “第一方”的概念可能会扩展到eTLD+1之外,例如,如果采用了与“第一方设置”提案类似的内容。浏览器在这个扩展的概念内放松其身份共享控制是合理的,前提是由此产生的身份范围不太大,并且用户可以理解。
  • 由于“使用PayPal支付”、“使用Facebook登录”或“使用您的电子邮件地址作为帐户名”等用户操作,每个网站的身份可以在第一方之间加入。浏览器应帮助用户理解允许加入的含义,并应支持访问不需要跨站点加入的网站的方式。

可以允许第三方访问第一方身份

 

  • 第一方有一种方法可以将对用户身份的访问权限委托给特定的3p,只要该委托的身份在1p之前保持碎片化。(这似乎是一个悬而未决的问题,这个身份是否应该是双重密钥,即也应该由3p进行碎片化:3p之间的一致性将使身份更容易使用,但这必须与跨每个站点身份加入的核心威胁的风险相平衡。)
  • 访问每个第一方的身份可以是一种3p特权,而不是一种权利——1p应该能够控制他们的3p中哪些人可以访问每个1p的身份。特别是,用于3p访问身份的浏览器机制决不能仅基于对浏览上下文的脚本访问而使其混乱可用。(这似乎是一个悬而未决的问题,1p应该拥有什么样的默认、阻止列表和允许列表来控制per-3p对per-1p身份的访问。)
  • 这认识到可组合性是网络的核心——例如,期望1p实现自己的分析或广告服务器是不合理的。
  • 其目的是让第一方保留对其网站上身份的控制权。建立每1p用户档案的3p应该与1p选择与其共享用户数据的任何其他公司处于相同的位置。

每个第一方的身份只能与少量跨站点信息相关联

 

  • “少量信息”的模糊性认识到浏览器需要在用户隐私和网络平台可用性之间进行平衡。潜在的用例必须尊重一个不变的事实,即很难在第一方之间加入身份,但受此限制,有足够的空间允许足够有用的信息以尊重隐私的方式流动。“足够有用”和“尊重隐私”必须根据具体情况进行评估。
  • 将用户的每个第一方身份与跨站点派生的信息相关联可能是可以的,前提是信息不太私人或太具有标识性。例如,myfavoritepublisher.com了解其用户的其他网络兴趣可能是合理的,前提是这些兴趣由数千名不同的myfavortepublisher用户共享。(FLoC API解释器描述了一种可以解决此用例的方法,而FLEDGE API解释器提供了另一种方法。)这对于选择正确的广告向用户展示可能非常重要。
  • 可以将用户的每个第一方身份与关于跨站点事件的少量信息相关联,这些信息是相关的、重要的和罕见的。例如,一旦用户点击第一方网站上的广告,就可以将用户后来在目的地网站上转换的事实关联起来,只要除了转换发生的事实之外几乎没有其他信息。(转换测量API描述了一种可以解决此用例的方法。)对于需要了解如何最好地花钱的广告商来说,这可能非常重要。
  • 网站可以了解用户在另一个网站上赢得信任的事实,例如,解决了CAPTCHA,成为订阅用户等。(基于Privacy Pass的信任令牌API描述了一种可以解决这种用例的方法。)这对于防止欺诈和滥用非常重要。
  • 一个网站无法了解给定用户访问的所有域(甚至是该用户访问的“大多数包含广告的域”)的列表。所有允许少量跨站点信息传递的API都必须针对此类滥用潜力进行评估。
  • 任何依赖于少量跨站点信息的用例都不能将该信息与任何第一方身份相关联。带聚合解释器的转换测量是对使用聚合来完全摆脱身份的探索。

我们认为,对网络隐私模型的共同理解对未来的标准讨论很重要。我们欢迎来自网络开发社区和更广泛生态系统成员的反馈。

相关工作

 

  • Tor浏览器设计的“隐私要求”,特别是明确强调了“不可链接性”。
  • Mozilla发布了一项反跟踪政策:https://wiki.mozilla.org/Security/Anti_tracking_policy
  • WebKit发布了相关的跟踪预防策略:https://webkit.org/tracking-prevention-policy/
  • 威胁模型和预防政策是同一对话的不同部分。

标签